PUBLICIDADE
A ponta visível do iceberg que se chama Regulamento Geral de Protecção de Dados (RGPD) ou General Data Protection Regulation, está a aumentar de tamanho à medida que, cada vez mais empresas, se apercebem da dificuldade de aplicar as suas regras.
Este diploma europeu foi criado para proteger o consumidor, após se terem verificado várias práticas de utilização de dados que violam a privacidade e a capacidade de livre arbítrio. Na prática, estabelece regras para o tratamento e a protecção de dados pessoais.
A poucos dias da entrada em vigor do RGPD, a SAS, empresa de contabilidade analítica, publicou um estudo onde dá conta de que cerca de 93% das empresas e entidades abrangidas não está “totalmente em conformidade com o regras do regulamento”.
O assunto não é apenas um problema das grandes empresas, mas, de facto, atinge todos os sectores de actividade que tenham interacção com o público, quer sejam microempresas, PME, grandes empresas, associações sem fins lucrativos ou administração pública. De uma forma muito simples: se a entidade processa dados pessoais, está obrigada a adoptar o RGPD.
O novo regulamento pretende criar confiança nos consumidores, numa época onde questões como “privacidade” e “respeito pelos dados pessoais” são cada vez mais importantes. Como tal, não é de estranhar que sejam as empresas que lidam directamente com consumidores finais singulares as mais afectadas e não as que, na sua actividade, tratam com outras pessoas colectivas, de direito privado ou público.
Internet: faroeste sem lei nem xerife
A lista de violações que provocou a criação do RGPD vai dos inúmeros emails de SPAM que, todos os dias, nos invadem as caixas de correio electrónico com conteúdos não solicitados, ao recente escândalo da Cambridge Analytica, que terá acedido ilegalmente a dados de milhões de cidadãos e os terá usado para influenciar as eleições norte-americanas e o Brexit, ou ainda à compra e venda de bases de dados com dados pessoais e sensíveis, obtidos sem o consentimento dos seus proprietários, entre outras práticas eticamente questionáveis.
O mundo digital, embora esteja a ser usado por grandes e modernos conglomerados empresariais para melhorar o alcance da sua actividade, até agora, assemelha-se a um filme do faroeste, onde não há lei, nem xerife.
“A União Europeia viu-se obrigada a legislar para proteger os seus cidadãos contra essas práticas”, explica José Belo, advogado especializado em Protecção de Dados e Privacidade.
O jurista adianta que, além das coimas que podem chegar aos 20 milhões de euros ou o valor de 4% do volume de negócios anual, o “castigo” mais penalizador que pode ser atribuído a uma empresa pela Comissão Nacional de Protecção de Dados (CNPD) é o impedimento de esta tratar dados dos seus clientes.
“Um negócio que não pode contactar os seus clientes não pode operar e terá de fechar portas.” Embora se possa traçar um paralelismo, em termos de dificuldade de adopção e cumprimento [LER_MAIS] de requisitos, com as normas de certificação ISO, como a de Qualidade, o RGPD é mais profundo e não é de aplicação voluntária. É obrigatório e não uma opção para melhorar a organização e credibilidade de uma empresa.
Por outro lado, os custos com novas soluções informáticas, formação de colaboradores, alteração e selecção de dados dependem de empresa para empresa, mas é certo que não há soluções “baratinhas”.
O alcance das medidas pode deixar os mais desavisados estupefactos, mas a realidade é que o RGPD já entrou em vigor a 27 de Abril de 2016. A União Europeia deu dois anos aos Estados-membros para que ajustassem a sua legislação e para que as empresas alterassem as suas políticas de tratamento de dados sensíveis.
“O regulamento esteve adormecido e o que agora se está a debater no Parlamento é o regime de sanções aplicáveis”, diz José Belo. Em Portugal, acredita, devido à crise e à intervenção da Troika, “os empresários e a Administração Pública estiveram preocupados com outros assuntos mais prioritários do que a privacidade”.
Mas há boas notícias para quem já detenha uma certificação ISO 27001. Tem 70% da implementação do RGPD feita. Porém, a maioria das empresas portuguesas ainda não tem qualquer sistema de qualidade instituído.
O que fazer?
Em primeiro lugar, as empresas e serviços devem averiguar quais são os dados de clientes, consumidores e utentes que têm em sua posse. A adopção de um sistema de gestão do RGPD implica uma análise à organização e processos da empresa acerca de contratos de funcionários e acessos às suas informações pessoais, contratos com fornecedores, identificação de todos os processos da empresa que tratam dados pessoais, e seu controlo e registo de acessos, entre muitas outros.
Este é um passo importante e é também uma mais-valia, pois permite, inclusivamente, perceber quem são os melhores clientes, os que não interessam e aqueles que precisam de mais contactos e atenção.
Ou seja, criar perfis de clientes para dirigir e poupar recursos. As maiores empresas já o fazem há anos, pelo que as maiores beneficiadas serão as pequenas. “Veja-se o exemplo do Continente que, ao monitorizar as compras de um casal consegue perceber se teve um filho e potenciar as suas vendas de artigos de bebé, com sugestões enviadas por email ou app”, explica José Belo.
Em segundo lugar, é preciso perceber como tratar os dados que estão na sua posse. E aqui, a maior parte das empresas vai ter de pedir auxílio externo. Será preciso pedir consentimento – novamente – para a sua utilização, de modo a existir um registo da autorização do consumidor/ cliente/utente, e certificar que os dados serão usados para fins legítimos.
“Normalmente, é nesta fase que as empresas necessitam de apoio externo, para perceber o que interessa e o que não interessa”, avança o advogado, que recorda o caso de uma empresa que tinha nas suas bases de dados até o tipo sanguíneo dos seus colaboradores. “É um assunto sensível e é preciso não esquecer que os empregados também são parte do público de uma firma.”
Passados estes passos, será preciso, daqui para a frente, gerir sempre os dados com o maior cuidado e como dita o RGPD.
Hospitais e Juntas de Freguesia não escapam
Não são apenas as pessoas colectivas privadas a ter de migrar os seus procedimentos digitais para estarem em conformidade com o RGPD.
Também os serviços públicos e da Administração Pública estão obrigados a alterar procedimentos e a pedir autorizações para utilização de dados pessoais. Hospitais, Segurança Social ou Juntas de Freguesia são obrigados a adoptar o RGPD.
Segundo especialistas ouvidos pelo JORNAL DE LEIRIA, no caso das Juntas, há mesmo a obrigação de haver um “encarregado de protecção de dados”.
O assunto tem gerado alguma preocupação, pois há pequenas autarquias com dados de 500 ou menos pessoas e que não podem suportar o custo de um técnico residente com estas funções.
Se, numa empresa, várias pessoas acedem a um serviço com a mesma palavra-chave, a partir de 25 de Maio é obrigatória a criação de senhas diferentes e pessoais e intransmissíveis.
Em Portugal, e de forma pioneira na Europa, a proposta de RGPD permite aos mortos o direito à privacidade, facto que, até hoje, não se verificava. A medida impede a devassa da vida privada mesmo após o óbito.
A tendência mundial, após um período onde os utilizadores de redes sociais e da internet não se preocupavam com a cedência de dados pessoais, é para fechar o acesso a esses detalhes da vida de cada um.
Primeira vez
Europa aplica lei se Portugal não o fizer
No caso muito provável de a lei de execução do RGPD não ser promulgada antes de 25 de Maio, o novo Regulamento Europeu poderá ser transposto automaticamente para o ordenamento jurídico português.
O advogado José Belo acredita que serão aplicadas coimas aos países que não o tiverem regulado.
“Vai ser a primeira vez que a União Europeia irá actuar directamente. Não sei como se resolverá isto juridicamente, mas a UE vai considerar os tribunais nacionais como tribunais europeus. Será a primeira vez que tal acontece”, prevê.
